だらだらやるよ。

こげつのIT技術メモ

ハッキングがデジタルだけで完結すると思ったら大間違い

セキュリティ

ちょっとファイルの整理してたら昔に書きかけてた文章がでてきたので。
ソーシャルエンジニアリングについてちょっと調べたときのこと。

ソーシャルエンジニアリングとは?

ハッキングとは、技術者にとっては興味深い研究対象かもしれないけど、
クラッカーと呼ばれる人からするとただの手段です。
あくまで目的を達成するための方法なので、
必要な情報が手に入るのなら手法はなんでもいい。

ソーシャルエンジニアリングとは
直訳するとわかりにくいが、セキュリティの世界ではコンピュータを使用しない情報収集手段全般を指すことが多いです。
ただ、必要に応じてコンピュータをまったく使用しないわけではないので、定義が曖昧ともいえます。
ネットワークを通じた進入以外の方法くらいでゆるく。
wikipediaとかも見るといいです
ソーシャル・エンジニアリング - Wikipedia

有名人

ケビン・ミトニック
有名なハッカー
刑務所から出てきて、今はセキュリティコンサルタントみたいなことをしてるらしい。
著書「欺術」は名著(出版前に獄中のことを書いた話が削除されているとの情報がある。残念)。
下村努との戦いはあまりにも有名で、書籍や映画にもなってます。


いくつかの手法を適当に紹介

ハッキングにも色々と名前がついてるように、ソーシャルの技にも名前がついています。
そんなわけで紹介紹介っと。
あ、でもねー僕じつはこの辺の実戦経験がほとんどないのですよ
なのでまぁ本業の人が見たら変なところはあるかも?教えてください!

トラッシング

ただのゴミ漁り
有効な場面
・対個人だと個人情報の収集に
・対企業だと社内の内線番号表やパスワードのメモ書き、社内システムのアカウントなど
注意点
・ゴミ捨て場をあさる姿はかなり怪しいし、業者の回収時間を調べておく必要もある。
・生活のためにゴミを漁る人達がいる地域だと、衝突する可能性もあるので気をつける。

データサルベージ

何らかの手段で手に入れたHDDやSDカードなどからデータを盗み出したり、
復旧して手に入れたりする。
有効な場面
・ログイン用のIDやパスワードなどの入手
・その他個人情報、個人的なファイルなどの取得
注意点
・廃棄されたものを手に入れるのが困難(とくに最近はメディアの寿命や容量が増えているのもあり、頻繁に捨てられるものでないため)
・ケーブルを切られるなど、物理的破壊が加えられている場合があるので、その場合は復旧に技術が必要になる。

侵入

攻撃対象の建物や事務所にに忍び入る
ピッキングなどを使用し、人のいないときに建物の中に侵入したり、
IDの偽造や出入り業者に変装して正面から侵入するなど。
IDカードなどでの認証がある場合、人の後ろについていくという方法もあります。
有効な場面
・対象が大手企業など、出入りする人間を全て把握しきれないような会社の場合
注意点
・実際に対象の前に顔を晒す必要がある。
・度胸が必要

盗み見

パスワード入力時のキーボードの動きや
PCの横に貼り付けてあるメモを盗み見る。
有効な場面
・対象がコンピュータに疎い場合
注意点
・視力や動体視力が必要

対話によるソーシャルハッキング

電話や、実際の会話によってターゲットから情報を引き出す。
このことのみをソーシャルハッキングとして指す場合もある。
詐欺や営業の話術に近いものもあり、交渉術として使われる場合もあります。
簡単に手法を紹介。

ネームドロップ

有名な人、権力のある人になりすます。
たとえば役員や上司などに成りすまし、電話で社員からパスワードを聞きだすなど。
取引先の人物やコンサルタントなどを騙るのも

ハリーアップ

時間制限を設け、相手をあせらす
パスワードや機密情報を聞き出そうとするときに、
時間の余裕がないことを伝え、対象に正常な判断をさせないようにする。

フレンドシップ

仲良くなる
対象と仲良くなり、機密に触れる情報などを聞き出す
また、相手に信頼させ、怪しまれにくくする。

ロングタイム

会話を長引かせ、疲れさせる
意図的に会話を長引かせ、相手がこれを言えば楽になれるという気持ちにさせる。
また、疲れることにより、正常な判断力を失わせる。

ラストワン

単調な質問を繰り返し、最後の質問で本当に必要なことを聞く
アンケートなどと偽り、いくつかの事柄に答えてもらい、
なんでもないような質問のふりをしてほしい情報を手に入れる。

テクニカルワード

専門用語で混乱させる
相手が混乱して、手に入れたい情報を漏らしてしまうようにする。
または、専門知識があることをアピールし信頼させる。
この場合は、社内独特共通的な用語を知っているとよい。

バッファオーバーフロー

相手に多くの情報を与え、考えるのをやめさせる
何かを聞き出すときよりも、特定の操作をしてもらう必要があるときなど、
「よくわからないけどとりあえずこうすればいいのね」といった感情にすることが目的

ギブアンドテイク

こちらの情報を与えたり相手に何かをしてあげることによって生じる「お礼をしたい」といった気持ちを利用する。
また、悪いことを2人でしているといった共犯意識を持たせ、人に言いづらい状況をつくる。
次回からはそれをネタに新しい情報をゲットしたりできる。

ちょっとした例

基本的にこれらの手法は単独で使用せず、複数の方法を組み合わせます。
また、攻撃対象の性格によっても有効な方法が違いますので、
そのへんを見極めながら行動する必要があります。


たとえば、ゴミや侵入から手に入れた社内の情報(部下の名前や、内線の直通番号など)を元に、
役員などに成りすまして社員に電話し、緊急の要件のふりをし社内システムのパスワードを聞き出す。
といったことになります。
またはシステム担当者に成りすまして、パスワードを再設定させるといった方法もあります。


というわけでネタ元は欺術とかそのへんの書籍から。
実際に使うかどうかは別としてですが、
どうしても技術的な視点からになりがちなセキュリティですが、
実際に情報が漏れるのは人からだったりすることが多いので、
こういった手口があるということを知り、不用意に機密を漏らしてしまったりしないように気をつけましょう。

この本は読み物としても楽しめるのでおすすめ!